Analyse von: Nikko Tamana   

 

Generic.Ransom.Magniber.F8E5B4A7 (Bitdefender), a variant of Win32/Filecoder.Magniber.A trojan (NOD32)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Ransomware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt. Wird ausgeführt und löscht sich dann selbst.

  Technische Details

Dateigröße: 48,640 bytes
Dateityp: EXE
Erste Muster erhalten am: 23 Oktober 2017

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Temp%\fprgbk.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • "cmd.exe" /c "%System%\wbem\wmic shadowcopy delete"
  • %System%\eventvwr.exe
  • ping localhost -n 3
  • schtasks /create /SC MINUTE /MO 15 /tn fprgbk /TR pcalua.exe -a %User Temp%\fprgbk.exe
  • schtasks /create /SC MINUTE /MO 15 /tn {random alphanumeric characteristics} /TR %User Temp%\READ_ME_FOR_DECRYPT_{random alphanumeric characteristics}_.txt
  • pcalua.exe -a eventvwr.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

Wird ausgeführt und löscht sich dann selbst.